出賣你的人際關係，價值是啥？

此篇暨
「你！出賣朋友嗎？」
「誰在看我的噗 (About Micro-Blogging)？」
「帳號密碼妙關聯，一般會員知多少」
相關社群網站系列之延伸。

社群網站存在已久了，但始終發展有限，自從臉書融入 Apple 的 APP 與線上遊戲的概念後，加上社交影響力瞬間爆紅，據傳將在美上市了。最近，也進入臉書看看裡面可以玩哪些花樣，發現對於他人的人際關係可以一覽無遺，這裡還是得烏鴉一下了。

雖然目前社群網站對於「隱私」上已經是相對注重了，不像早期的社群網站有許多惡劣手法，如「你！出賣朋友嗎？」一文所提。但...現行的「隱私設定」在預設值上，個人認為還是過於寬鬆的，預設是會開放許多隱私與人際關係的；另外一點就是設定上過於複雜，一般使用者多數是無法了解設定作業的。

對於網站上有關隱私部分，建議限縮下列的內容：
一、有關個人檔案隱私部分，建議僅針對朋友開放即可，除非你打算當個知名、公眾人物或推銷你自己。否則，不必要詳細填寫並展示出來。
二、有關搜尋隱私部分：

強烈建議把「我的朋友清單」勾選選項移除，也就是不要勾選。這樣，不認識的人就無法瀏覽你的人際關係。但是，朋友還是能瀏覽你「所有」人際關係，個人認為「該朋友」只能瀏覽我設定為「相同群組中的朋友」才是對的，目前並沒有看到系統有這樣的設定。
三、有關應用程式集隱私部分：

這部分也建議盡量縮限到最小。因為在這部分最怕遇到「惡意的應用程式」或「被惡意利用的應用程式」，遇到壞 APP 而官方統一的說法往往是：「這是委外開發商造成的問題」，但無論如何，權益受損的永遠是使用者，你不保護你自己也該保護一下你的朋友的。

對於設定複雜部分，個人倒是建議兩個功能：
一、設定上需要更人性化，要直接說明隱藏哪些資訊的範例(或動態圖型顯示我的哪些資訊可被隱藏)。
二、可以用不同的角色來瀏覽自己的資訊，如不認識的人、朋友的朋友、朋友...等角色，自己可以查看這些角色分別可以看到自己已經開放的哪些資訊。目前 FB 上僅能以「某朋友身分」來瀏覽自己的「基本資料」，如下：

但這還不夠，因為還有「不認識的人」、「朋友的朋友」等角色，你無法確定這些角色能看到哪些資料。可以稽核檢視自己開放的資訊，使系統達到更加重視隱私的目的，這點是很重要的。

以上除了保護自己的隱私外，也可以保護自己的朋友。網路個資已經外洩光了，要是社群網站再把個資彼此關聯起來，這，運用空間又變更大了。畢竟，社群網站大多透過知名演藝人員或政治人物起來的，對於公眾人物來說，這些資料似乎眾所皆知，甚至，有許多公眾人物還因此苦惱不已；但身為一般社會大眾並不需要完整揭露所有的資訊，有時公開了，要再回收是很困難的。

網路詐騙、電話詐騙...等，似乎也到了有轉型契機的時候了。


回到標題了，出賣你的人際關係，價值是啥？...答案是：「偷菜」。

閱讀全文(Read More)...

帳號密碼妙關聯，一般會員知多少

這篇文其實很早就想寫了，但總認為帳號密碼管理的殺手級應用，應該隔年就快出現了。但隔了一年又一年...@@，似乎遲遲不見相關應用。希望這篇文能引起大家對帳密管理重視與分級的觀念。

身為現在網路的一份子，你有多少組帳號密碼呢？E-Mail就好幾個，還有一堆會員帳號，不是嗎？很顯然的這裡面有很大的商機，但遲遲不見相關應用產品或技術。我大膽的說，帳密問題不解決，未來雲端將沒有安全性可言。

最近臉書夯很大，取用來做個解說吧！

上圖，大家應該頗熟悉這畫面，帳號是取用電子郵件名稱，我甲意，你的密碼是啥呢？有沒想過幾個劇本呢？
一、電子郵件名稱就是密碼？生日？[太好猜，社交一下很有機會]
二、密碼是123456。[弱密碼，隨便猜猜]
三、電子郵件信箱也是這邊登入的密碼。[這劇本非常奧妙，不少人都是用這吧]

看完帳號部分，接下來也要看一下密碼復原機制。不忘密碼枉為人...XD。

很簡單的機制，我也頗喜歡的，忘記密碼也不用擔心，直接把密碼復原的連結寄到帳號，也是一電子信箱，亦無法變更信箱...讚。這可以玩某種 One-Time Password 的把戲耶，密碼設定到極複雜，用完然後就忘記...XD。

這裡面需要注意幾個問題：
1. 帳號設定使用的電子信箱必須永久有效，不然，密碼忘記可就麻煩了。
2. 帳號設定使用的電子信箱管理權被拿走，這可是一舉淪陷多個帳號。
3. 帳號設定使用的電子信箱密碼忘記，哪，看看忘記密碼的機制能否救了。
4. 啥！密碼復原郵件被當垃圾郵件，收不到@@...XD
5. 這點才是我的重點，兩邊的密碼使用都是一樣的，應該有很多人都是這狀況的，會有啥問題呢？可妙了。

這時我們先切換到另外一個場景，你曾經填寫過哪些會員資料呢？不會都一五一十的寫吧！

填寫資料項目中，玲瑯滿目、五花八門，卻也可能處處充滿由網路世界跳脫至真實世界的巧門。填寫時需要多加以衡量其資訊的正確性與有效性，如非必要，能不填就不填，需要填就使用假設的一個虛擬個人資訊吧，網路是應該有另一個虛擬身份的。
每個網站的眾多資料項中，裡面有個幾乎是所有網站都會要必填欄位："密碼"與"E-Mail"。如果在會員網站留下的"密碼"，與"E-Mail"使用的密碼，是一樣的。那，無異於大辣辣的把另一組帳密告訴別人了嗎？

如果：
1. 這網站是釣魚、詐騙網站。
2. 這網站管理者盜賣個資、或加以濫用。
3. 這網站會員資料淪陷了、個資外洩了。

個資是可以做很多事的，電話可以發送詐騙簡訊、撥打詐騙電話，地址可以用來寄送中獎詐騙，E-Mail可以寄發各種社交郵件，有留下 IM 資訊的可能與留下的密碼是一致的(這個可以玩的花樣可多了...)，這些都可以做很多運用的。

密碼管理也需要分級設定的，還在用一個密碼打通關嗎？這風險是極高的。我想多數網友是使用好幾組密碼的，但這還不夠，還需要注意資訊的彼此關聯性，
提供一些方向參考：
1. 會員網站能不留資料就盡量別留吧！這樣密碼掉了也不會痛。
2. 一般商業會員網站，除了留假資料外，如果有密碼復原機制的，密碼就隨興吧！反正重設密碼還頗容易。最好是利用 E-Mail 做密碼復原，且 E-Mail 一經設定是無法變更的最佳，這樣只要守好 E-Mail 帳密即可。
3. E-Mail使用的密碼一定不能在其他地方使用(與其他密碼重複的)。
4. 跟$$有關的帳號密碼，請務必以謹慎方式處理，或配合實體機制(如動態密碼鎖...等)來強化安全。

看到這邊，是不是該把 E-Mail 使用的密碼都給變更一下呢？

閱讀全文(Read More)...

MSN惡意程式紀念噗!!

之前就有提過，小心朋友出賣你!!有圖有真相~~
看到熱騰騰的樣本，怎能放過，當然是把它下載囉!!

哇~，偽裝成圖片的樣式，不過附檔名還是執行檔。不過，足以呼巄過普羅大眾了。

整個手法的賣點：讓使用者以為下載的是圖檔，與惡意 MSN 訊息內容相符，劇本相當合理；當點選開啟後，非開啟圖檔卻是執行惡意程式，導致主機被植入惡意程式，然後再傳遞惡意 MSN 訊息，感染其他人。

來去 Virustotal 看看~~

只有三家防毒發現，還有兩家是報可疑，Wow~~令人意外的是MS (不過也是應該的，MSN主機應該能查覺大量重複的 MSN 訊息)，咦~~雲端卻在虛無飄渺中~~
參考資料：
ThreatExpert: http://www.threatexpert.com/report.aspx?md5=fc3aa77df7e6002743a7ed4abf4093fe

閱讀全文(Read More)...

誰在看我的噗 (About Micro-Blogging)？

「微型部落格」在網路上已經熱鬧好一陣子了。你噗了嗎？噗！是噗浪還是叭噗咧！

這裡有介紹頗多的「微型部落格」本身經常會遇到的問題，這裡也有詳細介紹「twitter」所遭遇到的攻擊問題可以參考。OWASP 排行榜上的第一名看來並非浪的虛名。

這篇文將會從使用者的角度來看「微型部落格」所帶來的衝擊，在說明前還是要回顧一下「網站」發展的過程，回顧歷史才能展望未來。不過，這裡我還是要強調一件事：網站攻擊不是現在才有，它一直存在，只是當今其他問題(如蠕蟲、系統漏洞攻擊)大多獲得控制(如線上更新、入侵防禦設備)，而你的網站卻一直沒有進步，當然成為標靶了。

「網站」發展的過程，我大概以兩個時間為分界點：2000年及2005年。在2000年以前談的網站大多是所謂的 ERP(企業資源規畫)、EIP(企業資訊入口)、CRM(客戶關係管理)、KM(知識管理)...等，況且哪時這類系統還有許多並非以網站來呈現的，且那時大多屬於封閉型的系統或網站型態，因此大部分躲過了威脅攻擊。

2000年後網路興起，「E化」是當時相當有名的名詞，也是動詞的哩，而網際網路公司可以說是紅到不行，當時股市衡量股價是否合理的方式是用本益比，但對網際網路公司是用「本夢比」，這樣你應該該可以想像網際網路公司即使虧錢，股價依舊高漲不歇，因為夢想多大、股價就有多高。這個時候大家談論的網站是啥呢？大家回想起來了嗎？B2B、B2C、C2C，還有物流、金流、資料流...，是否回想起來了呢？

B2B：大多是整合企業上下游之間的網站系統，這類網站大多封閉，是比較不容易出事，但不代表比較安全，因為會接觸到這邊的，大多可能屬商業間諜，行動隱密也低調；就算出事，業主本身也會相當低調，外界不會知道發生啥事。如果企業主發現你的對手對你的行銷、企劃...等有瞭若指掌的情況，可能要注意這類資訊系統的入侵可能性了。

B2C：簡單的說就是購物網站了，這點大家就應該很熟悉了吧。發生哪些資安問題呢？大家不會忘了吧...XD！google大神的開示。至於政府單位的 B2C ...XD，參考這篇吧。

C2C：簡單說就是拍賣交易網站了。造成哪些問題呢？簡單說就是「詐騙」、「詐欺」的社會問題。

在這個階段，另外有個神奇的東西，它本身不是網站方式呈現，但卻造就不少「釣魚網站」，對！就是 IM(Instant Messaging) 軟體，且它到現在還是很紅。
你！出賣朋友嗎？
網路上交朋友要小心
騙取MSN帳密的釣魚網站...真多!!

2005年之後，所謂的「網誌」大量出現，也就是所謂的部落格(Blog)、網路日誌、博客...等等。在前一波網路泡沫之後，Web 2.0 的觀念，帶動了許多網站的興起。這時你應該能想到很多網站吧！文字的部落客就像我這網站一樣，圖片的無名相簿網站，影音的 YouTube網站。在這個時候產生哪些問題呢？其實機乎不是資安問題，大多是社會問題，文字部分涉及言論自由、圖片部分涉及個人隱私或私密、影音部分多是犯罪實錄...XD。可以發現網路與生活越來越緊密了。

Web 2.0 簡單說，就是有個網站提供一個平台，讓使用者可以自己產生內容，並與其他使用者之間進行互動的一個網站。

2008年後開始出現「微網誌」，讓使用者與其他使用者的互動更加緊密了。所以有 Plurk、Buboo、facebook、twitter...的出現。而 XSS 漏洞透過這類社群網站獲得重生了，XSS 蠕蟲可以在一天之內感染數萬個使用者，甚至造成社群網站服務的效能崩潰。這只是資安問題的。我擔心的是另外一個問題。

B2C 的時代，大家已經把個資瘋狂的送到網路上，個資都已經外洩光了，Web 2.0的時代大家又把私密照片、或是犯罪實錄的影片給 Post 到網路上了。現在呢？噗阿噗！！大家把自己的行蹤、心情、喜怒哀樂、觀點...一大堆潛在人格特質給 Post 到網路上了。原來，在網路上要了解一個人好簡單啊。

微型部落格可能造成：陌生人比你媽還了解你，甚至，陌生人比你還了解你自己；而你卻還不認識隔壁老王。小心有心人的，當遇到難纏的對手，如果還涉及感情，哪可就麻煩了。

社交工程術的發展會將會更加極致，一旦詐騙電話更加了解你，不再是你熟悉的詐騙電話？一旦梁上君子熟知你的行蹤，不用在你的信箱、門牌做記號，上網就知道你在做啥？你該如何全身而退...網路真是讓人又愛又恨！！

閱讀全文(Read More)...

我不是教你使詐

我不是教你詐，
是教你看清世事。
免得你被賣了，
還在幫人數鈔票！

我不是教你詐，
是教你認清人性。
不可因為他們的好，忘了他們的壞；
不要因為他們的惡，忘了他們的善。


劉墉（1949年2月－），原名劉鏞，號夢然。
有關「人生、處世散文」之著作有：
* 《人生的真相》1992年
* 《冷眼看人生》1993年
* 《我不是教你詐》1995年
* 《我不是教你詐②》1996年
* 《我不是教你詐③》1998年
* 《你不可不知的人性》、《面對人生的美麗與哀愁》1999年
* 《你不可不知的人性②》2000年
* 《我不是教你詐④》2001年
* 《那條時光流轉的小巷》2002年
* 《人就這麼一輩子》2003年
* 《點滴在心的處世藝術》2004年
* 《花痴日記》2005年
* 《以詐止詐》2006年
* 《我不是教你詐⑤》2007年

第一次看《我不是教你詐》一書，是在學生時代，那時也剛好是第一本書出刊的時候，看到室友向圖書館借的書，也就一同分享了，看完只是覺得...好黑暗，果然大家都說「學生時代交的朋友，通常能夠永久」，畢竟學生時代還是單純的，且彼此認知與學習環境也相似，因此，對於「人性」仍然是茫懂。後來又接觸了另外一本書《厚黑學》，當時只是覺得不可思議，甚至，感到有些不屑，因為這跟所學完全不同，也是完全不同的思考邏輯，況且，哪時我只堅信「仁者無敵」，唉...當時年紀小。

該回到正題了，網際網路的世界呢？你知道網路上的陷阱嗎？你有嘗試去了解網際網路的黑暗面嗎？網際網路上的黑暗經濟是很盛行與強悍的。如果你是網際網路使用者，你應該多吸收資安訊息，如果你是 IT 從業人員，你得深入剖析，並思考可能因應之道才行。就像《我不是教你詐》這類書籍，也許你可以不用成為那一類的人，但，你應該了解他們的所作所為，並且，避免被牽連或波及的。當身處亂世時，得要有亂世的處世之道才行。

今年，應該說每年，台灣有幾個比較大所謂的資安技術年會或駭客年會，如 HIT 或 SyScan，這些大型資安技術活動都在七月份舉辦，而且都在北部，中南部的朋友就會比較辛苦點了；在國外最知名的應該就是 BlackHat / DEFCON 了。你對這類活動抱持甚麼態度或想法呢？

在 BlackHat/DEFCON 中，兩會議性質或許略有差異，參加者大多仍以資安或 IT 廠商、檢警調與軍方、資安研究人員、資安"社群"為大宗。如果在會場上夠活躍，可以認識相當多的同好者，且應該會連打招呼的時間都不夠的，慢慢的也就演變成為一年一度的盛會，也可順便見見一年不見的朋友，或兩三年不見的老友了。彼此談談過去一年的生活點滴、研究心得、威脅轉變、趨勢變化...等等，即便短短數天的會議，除了會議上的議題，還有更多非會議議題上的收穫，這是難能可貴的。

坦白說，我對 Hacking 技術的會議或論壇仍然沒有太多好感，因為這類技術對所謂的防守方或 IT 人員來說，並沒有太大的推廣，更重要的是，也沒有帶來解決方式或防禦措施。另一方面是對於地下經濟而言，這類活動卻像是大補丸一樣，他們會處心積慮的收集各種攻擊技巧、資安觀念、技術學習能力(或用流行話語：山寨能力)...等，而完全不需要自主開發，依樣畫葫蘆就能收到極佳效果了，甚至有的地下團體間，還處於彼此激烈競爭情況。相較於防守方或 IT 人員默默不聞或遮耳閉眼，有著完全相反的心態，防守方並不積極於這方面的知識吸收外，也沒有相對應的資安觀念，更嚴重的是連這方面交流管道都沒有。兩相比拼，一漲一消，高下立判。

對於資安技術年會或駭客年會，你應該有的心態：
1.了解最新的攻擊技術或未來可能的攻擊技術。
要學習最新的攻擊技術，參加會議當然是最直接的方式，對舉辦資安技術年會或駭客年會來說也是最主要的目的，但對你來說，沒有參加也不見得學習不到最新的攻擊技術，因為大部分的會議通常都會提供講師的簡報檔，如果有些門路，通常都可以拿到的。或者，網路上找找，通常也會有些收穫的。另外一個角度想，參加也不見得能完全吸收攻擊技術內容，因為有許多議程，也有需多主題與各方面的技術，很多時候也不見的能完全聽懂，如果不是你所了解、熟悉的技術內容，哪要聽懂也頗困難。至少，你應該要知道有這方面的攻擊技術是可以被利用的，而你的環境中是否會受此影響呢？這是關鍵。

2.攻擊技術是否被惡意利用。
有時資安技術年會或駭客年會也會有講師提出警告，或提出可能如何被利用的新機會，而地下經濟也會透過這類活動學習到新的攻擊技術或手法運用，這也是我對這類活動感冒的地方，因為，你無法控制別人如何拿去利用的。所以，你也必須思考這些攻擊技術或活動，對你的 IT 帶來多大的影響。就像一把手槍一樣，做槍的人沒事，亂開槍的就有事。

3.攻擊趨勢研判。
研判趨勢，說真的，並不容易。但你應該嘗試去研判，因為在做定論前，你會去學習、蒐集、分析、研判...等，而重要的也是這個過程，你會深入了解各種攻擊手法或利用方式，最後才能找出可能趨勢，它重要的是過程而不是結果。對於趨勢的研判，其本身也是很主觀的，且外在威脅變化也頗快，有時說公開的威脅趨勢可能也會導致破局的，所以，大家都有機會去預測的。

4.對於被利用的攻擊技術如何防範。
這點大多在會議中通常不會是重點。所以你得自己消化後，產生出一些防禦想法、抑制方式或偵測措施。或者可以在會場上與講師討論，或者與志同道合的盟友，共商復興大計。

5.交流、交友、交技術。
我認為這是最重要的，當然不一定是要跟講師交朋友的，可以當然是最好，要跟左鄰右舍的交個朋友才是重點，因為，會來參加這活動的，都是同圈子的人，彼此也能技術交流，更重要的是：你多了同圈子的夥伴，而這夥伴可能精通 FW, IDS, IPS, AV, WAF, UTM, Network, System, Coding, Hacking ... 等等，其一或更多或特殊稀有專長，做資安如果要單打獨鬥幾乎是不可能的，多認識朋友將會在做資安工作上極大的助力，我認為參加這類活動，你應該有的最基本心態。所以，不要吝嗇跟會場接觸到的人交換名片，因為，這將是你此行最大收穫。
另外，就是會議上的議題，或其他熱門的資安議題，都是打開話匣的題材，或交換彼此工作心得，或分享個人專長密技。這些都可以讓你可以交上朋友的。當日後遇上難解的問題、技術上的迷思、防禦上的困境...等等，你會發現資安路上不是只有你一個人的，多個朋友、夥伴，可以讓你更能得心應手的。

閱讀全文(Read More)...